Microsoft Microsoft Sentinel 的 Active-Directory 域控制器安全性事件記錄連接器
[選項 3 和 4] - 使用 Azure 監視器代理程式 -您可以使用 Windows 代理程式,從聯機到您Microsoft Sentinel 工作區的 Windows 機器串流處理部分或所有域控制器安全性事件記錄。 此連線可讓您建立自定義警示,並改善調查。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | SecurityEvent |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Community |
查詢範例
所有稽核記錄
SecurityEvent
| sort by TimeGenerated
必要條件
若要與 Microsoft Active-Directory 域控制器安全性事件記錄檔整合,請確定您具有:
廠商安裝指示
注意
此解決方案是以選項為基礎。 這可讓您選擇要擷取哪些數據,因為某些選項可能會產生非常高的數據量。 根據您想要收集的專案,在活頁簿、分析規則、搜捕功能中追蹤,您將選擇您要部署的選項。 每個選項彼此無關。 若要深入瞭解每個選項: 'Microsoft Exchange Security' Wiki
此數據連接器是 Wiki選項3和4 。
- 下載並安裝收集 sentinel Microsoft記錄所需的代理程式
伺服器類型(Exchange Server、連結至 Exchange Server 或所有域控制器的域控制器)取決於您要部署的選項。
域控制器的安全性記錄
選取如何串流域控制器的安全性記錄。 如果您想要實作選項 3,只需要在與 Exchange Server 相同的網站上選取 DC。 如果您想要實作選項 4,您可以選取樹系的所有 DC。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。